奇安信董事长齐向东11月27日在2020北京国际金融安全论坛上发表了主题为“从实战攻防看金融行业安全态势”的演讲。齐向东在演讲开篇即指出,“我国中小金融机构的网络安全状况非常堪忧”。
“2019年,我国金融机构累计进行了200多场‘网络攻防演习’,其中部分由行业主管部门主持,部分是金融机构的自查行为。在200多场演习中,大型金融机构的失陷率为15%,中小机构85%被拿下。”齐向东补充道,如果网络攻击时间由一周到两周延长至一个月到两个月,100%的中小金融机构都会被“拿下”。
所谓“拿下”,即黑客通过外网攻击进入银行系统的内网。在内网里面能拿到关键性的权限,从而对金融机构的业务进行操作,执行破坏性的动作。对于上述演习结果,齐向东表示非常堪忧。
齐向东认为,中小金融机构在网络安全上存在十大薄弱环节,包括安全意识、资产不清、互联网出口过多、应用系统漏洞、供应链管控没有、0DAY漏洞等等十个方面。这些薄弱环节中,一半以上的中小金融安全机构存在不完善现象。
面对严峻的金融行业安全态势,如何构建新一代的金融安全体系?齐向东认为,新时代安全体系应当具备四个重要目标:合规检查、保障业务、适应形势、应对挑战。其中,应对挑战就是在新发展阶段,要有新的网络安全格局,迎接新的挑战。
如何补足现有短板?齐向东又给出四条措施:第一个是要建立实战化的安全运营中心;二是要补充实战攻防对抗类武器;三是加强对终端的安全管控;四是提升安全人员的能力。
据齐向东介绍,按照国家网络安全综合防控系统“三化六防”的新思想,奇安信今年推出了内生网络安全框架白皮书。目前,已有超过一百多家的大型机构,按照内生网络安全框架结构制定“十四五”网络安全规划。